Willkommen in der Business Community

Die Telekom Community für Geschäftskunden

Aktueller Hinweis

Digitalisierungsbox Premium erlaubt im IPsec-Tunnel nicht mehrere Routeneinträge

Gelöst

Die Digitalisierungsbox Premium ist mit einem anderen Router mit unserem Hauptstandort verbunden. Der IPsec-Tunnel läuft stabil und enthielt bis vor kurzem auch nur einen Routeneintrag (10.10.0.0 / 255.255.0.0) im Menü IPsec-Peers. Nun wird es aber notwendig einen zweiten Routeneintrag zu setzen, da dieser ebenfalls erreicht werden muss (10.200.0.0 / 255.248.0.0). Leider bricht danach die Verbindung des ersten Eintrags weg. Beide Einträge lassen sich nicht gleichzeitig betreiben. Ein zweiter Tunnel zur gleichen Nebenstelle ist leider auch keine Lösung. Was kann man hier noch machen?

1 AKZEPTIERTE LÖSUNG
Lösung
@KaiDetken
Leider ist Ihre Frage so speziell, dass sie so pauschal nicht beantwortet werden kann.

Es gibt die Möglichkeit, dass ich Sie mit unserem Remote-Service verbinde. Die Kollegen können sich dann direkt Ihre Konfiguration ansehen und überprüfen. Dieser Service ist allerdings kostenpflichtig.

Bitte informieren Sie mich, wenn Sie diesen Service wünschen.

Viele Grüße Martina Ha.

Lösung in ursprünglichem Beitrag anzeigen  

Telekom hilft Team
Hallo @KaiDetken,

herzlich Willkommen hier in der Community.

Damit ich schnell weiterhelfen kann, füllen Sie bitte in Ihren Benutzerdaten die Felder „Kundennummer“ und/oder „Telefonnummer“ aus. Über folgenden Link gelangen Sie sofort zur richtigen Stelle in Ihrem Profil http://bit.ly/Kundeninfos Im Anschluss freue ich mich über eine kurze Rückmeldung.

Dann schauen wir gemeinsam auf ihren Anschluss, und können ggf. bei den Kollegen der Technik nachfragen.

Liebe Grüße
Sandra Ha.

Die Daten wurden ergänzt. Sie können mich heute über 04208-1740 erreichen.

Hallo @KaiDetken,

das zweite Netz hat ja auch nichts mit dem eigentlichen VPN - Tunnel zu tun, sondern das ist "normales Netzwerk-Geschäft". Wenn sich ein fremdes Netzwerk hinter einem anderen Knotenpunkt befindet, muss über einen manuell zu erstellenden Routingeintrag dem System die Gatewayadresse bekanntgemacht werden. Das gleiche Problem hätten Sie auch, wenn es im lokalen Netzwerk noch einen weiteren Router / Gateway geben würde.

 

Hallo @KaiDetken,

Moin, konnten dir die Tipps und Hinweise von @Kalle2014 weiterhelfen bei deinen Überlegungen?

Ansonsten bin ich für dich da.

Liebe Grüße aus Kiel
Sandra Ha.

Ja, das ist schon klar. Nur ist es leider so, dass der Telekom-Router den zweiten Routingeintrag ignoriert. Es sind also zwei Netze angegeben, aber nur eines funktioniert korrekt. Ist das ein Bug bei dem Telekom-Router oder gibt es noch eine andere Möglichkeit dies einzustellen? 

 

PS: Die Gegenseite funktioniert korrekt. Dort sind diverse Standorte miteinander verknüpft.

Nö, das hat leider nichts gebracht bzw. das Problem wurde nicht verstanden.

Hallo @KaiDetken,

hatte eben versuch dich zu erreichen, leider habe ich nur mit dem Anrufbeantworter sprechen können.

Ich versuche es wieder, wollte gerne mal mit dir zusammen meine Kollegen der Technik anrufen, um gemeinsam auf deine Leitung und Geräte zu schauen.

Natürlich darfst du auch jederzeit alleine dort um Hilfe bitten.;)


Liebe Grüße
Sandra Ha.

Hallo @KaiDetken,

vielleicht machen Sie mal Screenshots von den definierten Routingeinträgen. Denn vermutlich haben Sie einen Konfigurationsfehler gemacht.

 

Übrigens: Die Gegenseite muss natürlich auch die Rückroute kennen.

Ja, auch das ist klar und wurde korrekt eingestellt. Funktioniert ja auch für ein einzelnes Subnetz. Nur eben nicht, wenn man zwei einstellt. Screenshot liegt bei.IPsec-KonfigurationIPsec-Konfiguration

Warum legen Sie die zweite Route nicht unter Netzwerk -> Routen an?

Genau das wurde gemacht! Resultat: er verbindet sich nicht mehr mit der ersten Route. Löscht man die erste Route und nimmt nur die zweite, geht diese auch. Nur zwei Routen auf einmal scheint nicht zu funktionieren. Ist hierzu irgendein Fehler bekannt?

Mir sind keine Fehler bekannt.

Welche Form des Routings haben Sie denn eingetragen? Netzwerkroute via Gateway oder via Schnittstelle?

 

Es wurde Netzwerkroute via Schnittstelle eingetragen.

Dann versuchen Sie mal die zweite Route über Gateway anzulegen, und das Gateway ist dann die IP-Adresse der VPN - Verbindung.

Habe die zweite Adresse angelegt. Diese wird automatisch als "Netzwerkroute via Gateway" hinterlegt. Als Gateway-Adresse wird die Defailt-Route 0.0.0.0 angegeben. Das ist falsch würde ich sagen, da dadurch der erste Eintrag nicht mehr erreicht werden kann und alles über die Default-Route läuft (und würde das Phänomen erklären). Was soll als Gateway-Adresse am besten eingetragen werden?

Das Gateway müsste auf jeden Fall im 10.10.0.0 - Netz liegen.

 

 

 

Okay, werde ich testen und mich wieder melden, wenn es geklappt/nicht geklappt hat.

Es wurden jetzt verschiedene Gateway-Adressen ausprobiert - ohne Erfolg. Entweder reagiert die eine Route oder die andere. Ehrlich gesagt finde ich die Konfigurationslogik auch nicht nachvollziehbar. Den ersten Routeneintrag unter IPsec legt er als "Schnittstelle" an und den zweiten als "Gateway". Warum nicht beide als Schnittstelle? Gibt es noch weitere Optionen? Ansonsten würde ich sagen, dass der Telekom-Router leider nicht in der Lage ist zwei Subnetze über einen IPsec-Tunnel zu routen.

Hallo @KaiDetken,

schade, dass sich noch keine Lösung für die Konfiguration gefunden hat.

Ich habe jetzt nochmal eine Frage an die Fachabteilung für die Digitalisierungsbox Premium zu Ihrer Problematik gestellt.

Bitte haben Sie noch etwas Geduld. Sobald ich eine Antwort habe, melde ich mich umgehend bei Ihnen.

Ich möchte Ihnen hier auch unsere Computerhilfe Business einmal vorstellen. Dort können Sie auch Hilfe und Unterstützung erhalten. Weitere Informationen finden Sie unter diesen Link.

Viele Grüße Martina Ha.

Lösung
@KaiDetken
Leider ist Ihre Frage so speziell, dass sie so pauschal nicht beantwortet werden kann.

Es gibt die Möglichkeit, dass ich Sie mit unserem Remote-Service verbinde. Die Kollegen können sich dann direkt Ihre Konfiguration ansehen und überprüfen. Dieser Service ist allerdings kostenpflichtig.

Bitte informieren Sie mich, wenn Sie diesen Service wünschen.

Viele Grüße Martina Ha.

Nein, das möchte ich nicht. Nach meinem Wissens-/Erfahrungsstand (und ich beschäftige mich seit 20 Jahren damit) ist auch alles korrekt eingestellt worden - funktioniert aber leider nicht. Ich werde daher mit einem Workaround leben müssen. Es sei denn sie haben eine Anleitung wie man verschiedene Subnetze auf einer IPsec-Verbindung einsetzen kann, die ich noch einmal durchgehen könnte...

@KaiDetken
Die habe ich leider nicht. Wie gesagt, ich kann nur an den Remote-Service zur Fehlerbehebung verweisen.

Es tut mir leid, dass ich da keine andere Antwort für Sie habe.

Viele Grüße Martina Ha.